Checklista över hur du informerar när du inhämtar personuppgifter

Örebro universitet är ansvarigt för de personuppgiftsbehandlingar som våra studenter gör inom ramen för sina studier. Det innebär att du som student har en skyldighet att informera om bland annat på vilket sätt du kommer att använda dig av personuppgifter du samlar in vid exempelvis en uppsats. Denna skyldighet gäller så länge som personen av någon annan anledning inte redan känner till detta, exempelvis för att personen fått informationen tidigare (vilket i så fall måste utredas och dokumenteras om detta undantag ska användas).

För vem

Denna checklista är framtagen för dig som är student och kommer att använda dig av personuppgifter i ditt arbete eller projekt. Checklistan är tänkt att underlätta när du ska sammanställa den information som du enligt dataskyddsförordningen är skyldig att ge till den vars personuppgifter du kommer att hantera. Denna person är i texten och i checklistan kallad ”den registrerade”.

Det är aldrig tillräckligt att enbart hänvisa till att ”jag följer gällande lagstiftning avseende personuppgifter” eller liknande utan fullständig information ska lämnas vid insamlingen. Tänk på att du måste skriva koncist, klart och tydligt samt att informationen ska anpassas till den registrerade. Det finns även en rätt att få informationen muntligen, om den registrerade hellre vill det.

Checklistans indelning

Beroende på om du får informationen direkt från en registrerad (exempelvis vid en intervju eller enkätundersökning, vid registrering av ett konto, vid ett fotograferingstillfälle m.m.) eller om du får den på annat sätt (hämtar upp betyg via databaser, kontrollerar adresser mot folkbokföringen, uttag ur patientjournaler m.m.) ser kravet på information något olika ut.

Detta dokument är därför uppdelat enligt följande:

  • Gemensam information som alltid ska ges.
    + antingen informationen enligt punkterna nedan.
  • Specialregler vid information som ska ges om personuppgifter samlas in direkt från den registrerade.
  • Specialregler vid information som ska ges om personuppgifterna samlas in, men inte direkt från den registrerade.

Läsanvisning

Vill du ändra ordningen för hur du lägger upp informationen, hur du skriver ihop det etc. går det givetvis bra men se till att inte glömma någon punkt, om den ska vara med. Det är även viktigt att du använder ett bra språk och att det är läsvänligt

Kontakt vid frågor samt förbehåll

Vid frågor eller funderingar angående checklistorna och vad de tar upp (och vad som eventuellt har utelämnats), vänd dig i första hand till din handledare, kursansvarige eller liknande alternativt till din institutions dataskyddssamordnare.

Grundläggande information

  • Vem som är personuppgiftsansvarig och ge kontaktuppgifter till denne och, när det går, den fysiska person som kan företräda den personuppgiftsansvarige.

    Vanligtvis är Örebro universitet personuppgiftsansvarig men kontrollera detta särskilt. Ibland kan det vara ett samarbete där flera är personuppgiftsansvariga och ibland kan det vara någon annan som är ansvarig och vi gör insamlingen som en del i ett uppdrag m.m.

    En fysisk person bör vara den som är ansvarig för exempelvis kursen som studentarbetet sker på.
  • Namn på och kontaktuppgifter till dataskyddsombudet, e-post och telefonnummer.
    Kontrollera på Örebro universitets hemsida vem som är dataskyddsombud.
  • Anledningen till den användning av personuppgifterna som kommer att ske samt den rättsliga grunden för denna.

    När det gäller studentarbeten är det i princip enbart samtycke som kan vara aktuellt som grund för behandlingen. Beskriv kortfattat användningen så att den registrerade kan förstå hur dennes information kommer att hanteras. Vid osäkerhet angående vilket regelverk som gäller, kontakta i första hand kursansvarige, handledare eller motsvarande som i sin tur även kan kontakta universitetets juristfunktion eller dataskyddsombud.
  • Vem som kommer att få ta del av personuppgifterna eller vilka funktioner som kommer att använda sig av dem.

    Exempelvis enbart du som student eller om ni är flera, ev. examinator för verifiering av resultat etc.
  • Om det är aktuellt att överföra personuppgifterna till tredje land, dvs ett land utanför EU/EES eller till en internationell organisation ska det informeras om detta och vilket stöd som finns för den överföringen. Observera: Att publicera något på webben innebär inte per automatik att det överförs till tredje land. Läggs det upp på sociala medier är det däremot ofta fråga om en sådan överföring som ska informeras om eller att samla information i en molntjänst. Då detta område är svårt är det klokt att ta stöd i dessa frågor. Kontakta i första hand handledare, kursansvarige eller motsvarande för rådgivning om vad som gäller för överföring till tredje land/internationella organisationer.

2018 trädde GDPR i kraft, vars syfte är dels att stärka skyddet för den personliga integriteten och dels att skapa ett enhetligt regelverk för hela EU. Den tekniska utvecklingen och hanteringen av företag som Google och Facebook, vars affärsmodeller bygger på försäljning av personuppgifter och data, var starkt bidragande faktorer till EU:s införande av regelverket.

Den som behandlar personuppgifter om EU-medborgare ska, oavsett om själva personuppgifts-behandlingen sker inom eller utanför unionen, respektera människors grundläggande fri- och rättigheter och särskilt deras rätt till skydd av personuppgifter. Vad detta i praktiken innebär för dig som student ska denna text  försöka förmedla.

GDPR gäller all hantering av personuppgifter som inte är rent privat och det är därför viktigt att du har förståelse för regelverket om du som student hanterar personuppgifter inom ramen för din utbildning. Detta för att du på ett korrekt sätt ska kunna hantera personuppgifter i ditt studiearbete men även för att i många fall få en förberedelse för vad som gäller i ditt framtida yrkesliv.

Termen den ”registrerade” används genomgående i materialet och betyder en identifierad eller identifierbar fysisk person vars information används i t.ex. ett uppsats- eller projektarbete.

 

Insamling och bearbetning av personuppgifter

Varje uppgift som direkt eller indirekt kan kopplas till en levande person är en personuppgift. Detta innebär att det inte bara är sådant som namn och personnummer som kan vara personuppgifter utan även användarnamn, e-post- eller IP-adresser, biometriska data, fysiologiska uppgifter och även exempelvis en röstinspelning. Även kombinationer av uppgifter omfattas så länge det genom uppgifterna är möjligt att koppla dessa till en fysisk person. För all användning av personuppgifter som inte är rent privat gäller att denna måste följa GDPR:s samtliga principer för behandling. Det innebär bl.a. att:

  • behandlingen ska ske på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade,
  • uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål,
  • uppgifterna får inte vara för omfattande i förhållande till syftet de samlas in för,
  • uppgifterna ska vara korrekta och uppdaterade,
  • uppgifterna får inte förvaras i form av identifierbara personuppgifter längre än vad som krävs för behandlingen och att
  • uppgifterna ska behandlas på ett säkert sätt.

Enligt GDPR måste man, redan när uppgifterna samlas in, veta vad de ska användas till. Detta för att inte samla in mer information än nödvändigt, för att bara samla till berättigade ändamål och för att man också måste veta hur länge uppgifterna ska användas (även om ett exakt slutdatum inte nödvändigtvis måste kunna ange). ”Bra-att-ha” är alltså inte ett godtagbart argument i sammanhanget.

Då Örebro universitet är personuppgiftsansvarig vid uppsatsskrivning så ska detta göras med programvaror och tjänster som tilldelas av universitetet. Exempelvis ska ORU Survey användas för enkäter. Tillåtna programvaror hittar du här. 

Laglig grund

Förutom att personuppgiftsbehandlingen måste uppfylla de grundläggande principerna måste det också finnas laglig grund för behandlingen. Det finns sex tillåtna grunder och det räcker med att en av dem är uppfylld för att behandlingen ska vara tillåten. Det är givetvis även möjligt med en kombination av grunder.
Vid skivandet av studentarbete inhämtas oftast personuppgifter med samtycke och allmänt intresse. 

  • Samtycke – den registrerade har lämnat sitt informerade samtycke till behandlingen. Samtycket måste dokumenteras och kan när som helst återkallas.
  • Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
  • Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är delaktig i.
  • Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, ex. lagar och myndighetsföreskrifter men även kollektivavtal omfattas.
  • Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade, ex. hälsa och sjukvård.
  • Behandlingen är nödvändig för tredje parts berättigade intressen (om inte den registrerades intressen, fri- eller rättigheter väger tyngre). Observera att möjligheten att använda denna grund är starkt begränsad för myndigheter och därigenom även för dig som student vid Örebro universitet.

För Örebro universitet är en stor del av verksamheten myndighetsutövning. Här ryms exempelvis allt som normalt hör till utbildning och examination. Vidare anses forskningen vid universitetet vara av allmänt intresse och grunden för detta finns i högskolelagen. De arbeten som våra studenter producerar når däremot sannolikt inte upp till allmänt intresse vilket innebär att om personuppgifter samlas in ska samtycke normalt sett först inhämtas från berörda personer.

Särskilda kategorier av personuppgifter även dagligt kallat för känsliga personuppgifter (artikel 9 GDPR). Det är i huvudregel förbjudet att behandla dessa uppgifter enligt dataskyddsförordningen, men det finns undantag. Det ställs dock alltid högre krav på tekniska och organisatoriska skyddsåtgärder när dessa uppgifter behandlas. 

Integritetskänsliga personuppgifter även kallat extra skyddsvärda personuppgifter så som personnummer, samordningsnummer och uppgifter om lagöverträdelser anses vara integritetskänsliga personuppgifter. Andra exempel kan vara löneuppgifter, värderande uppgifter och information som rör någons privata sfär eller uppgifter om sociala förhållanden.  
Vi rekommenderar att du inte behandlar känsliga personuppgifter i ditt studentarbete då det ställer högre krav på behandlingen, bl.a. vad gäller samtyckets tydlighet och säkerhetsnivåer. Om sådan behandling ändå utförs ska det ske i dialog med kursansvarig och handledare. 

Informationsplikt

När vi samlar in personuppgifter har vi en skyldighet att lämna information till den registrerade som bl.a. ska innehålla:

  • identitet och kontaktuppgifter för den personuppgiftsansvarige (mer om personuppgiftsansvarig nedan),
  • kontaktuppgifter för dataskyddsombudet (mer om dataskyddsombud nedan),
  • ändamålet med/anledningen till behandlingen samt stödet för denna,
  • vem/vilka som kommer att ta del av uppgifterna samt
  • eventuell överföring till länder utanför EU och information om skyddsnivån hos mottagaren.

För att underlätta utformningen av denna information finns det checklistor för vad denna information ska innehålla. Dessa checklistor finns med som en bilaga till detta dokument men ligger även på Blackboard i anslutning till de filmer och utbildningsmaterial som ligger där.

Informationsplikten gäller även om vi inte samlar in uppgifterna direkt från den registrerade. Det finns vissa utrymmen för undantag; om du vet att den registrerade sedan tidigare är informerad, om det är praktiskt omöjligt eller mycket svårt att informera eller om behandlingen är en skyldighet via lagstiftning. Praktiskt exempel: När en student begär ett datorkonto hos oss hämtar vi normalt uppgifter från Ladok. Vi är då skyldiga att informera studenten om att detta sker och vilka uppgifter det rör sig om i samband med att kontot begärs. Däremot behöver vi inte särskilt informera om att en students studieresultat skrivs in i Ladok eftersom det står i förordningen (1993:1153) om studieregistrering att detta ska göras.

Uppgifterna ska behandlas på ett korrekt och öppet sätt i förhållande till den registrerade. Om den registrerade har frågor eller vill använda sig av sina rättigheter i förhållande till behandlingen som vi utför är det vår skyldighet som del av Örebro universitet att hjälpa till. Detta gäller så länge som det inte finns hinder mot detta på grund av exempelvis sekretess- eller arkiveringsregler.

Säkerhet

De insamlade uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder. Detta omfattar skydd mot obehörig eller otillåten behandling och skydd mot förlust, förstöring eller skada genom olyckshändelse. Detta innebär att du som student måste se till att endast behöriga personer har tillgång till uppgifterna och att eventuella databaser eller system omfattas av olika säkerhetsåtgärder (exempelvis att skydda datorn med lösenord).

Programvaror för studenter

Att besluta om, införa och övervaka lämpliga säkerhetsåtgärder såväl tekniska som administrativa är ett krav i GDPR och detta ska även dokumenteras. Detta informations- och utbildningsmaterial samt registrering av studentarbete (formuläret) är t.ex. en del av universitetets arbete med GDPR.

Vid behandling av känsliga personuppgifter och integritetskänsliga uppgifter så som exempelvis lagöverträdelser krävs det att arbetet även kan bedrivas under etiskt säkerställda och trygga former. Dessa ska endast behandlas i mindre omfattning och med tydliga syften. Adekvata skyddsåtgärder ska tillämpas så som exempelvis säkra lagringslösningar, pseudonymisering, kryptering och försiktighet vid användande av e-post och andra meddelandetjänster. 

Som stöd vid lämplighetsbedömningen ska du och din handledare diskutera om projektet kan genomföras under etiskt godtagbara former med utgångspunkt i de allmänna forskningsetiska principerna, exempelvis Vetenskapsrådets rapport ”God forskningssed”. Personuppgifterna kan behandlas om de återges på ett återhållsamt sätt från exempelvis publicerade domar eller uppgifter i massmedia samt att förutsättningarna som beskrivs på denna sida kan uppfyllas.

Till rapporten God forskningssed

Roller och ansvar

För all personuppgiftshantering, från den enskilda studentens uppsatsarbete till forskningsprojekt och administrativa system, finns det en personuppgiftsansvarig och för den verksamhet som bedrivs inom lärosätet är detta Örebro universitet. Det är Örebro universitet som har det yttersta ansvaret för all behandling av personuppgifter som sker inom ramen för verksamheten.

Som enskild student som inom ramen för dina studier behöver hantera personuppgifter förväntas du sätta dig in i vad som gäller för att just din hantering av personuppgifter ska bli korrekt.

Vid lärosätet finns också ett dataskyddsombud som internt ska granska hanteringen men även fungera som hjälp och stöd för verksamheten. Dataskyddsombudet ska också vara tillgängligt för att kunna hantera frågor och klagomål från registrerade och kan nås via kontaktuppgifter på hemsidan.

Integritetsskyddsmyndigheten är tillsynsmyndighet för GDPR och har därmed ansvar för att granska universitets hantering av personuppgifter och hantera klagomål från registrerade.

Vid fel och brister i hanteringen kan både personuppgiftsansvarig och eventuella personuppgiftsbiträden drabbas av både sanktionsavgifter (böter) och skadestånd. Sanktionsavgifterna ska vara effektiva, proportionella samt avskräckande och kan bli mycket höga.

Fördjupad information om ansvarsfördelning för frågor om dataskydd m.m. vid Örebro universitet finns i dokumentet ”Riktlinje för Örebro universitets behandling av personuppgifter”, ärendenummer 2020/00050.

Den registrerades rättigheter

Genom GDPR har den registrerade en rad rättigheter som är till för att stärka skyddet för den personliga integriteten och positionen gentemot den som behandlar personuppgifter. Alla registrerade har rätt att i förväg få information på ett klart och tydligt sätt om den tänkta personuppgifts-behandlingen. Grundtanken är att den registrerade ska kunna förutse vad som kommer hända med den aktuella informationen.

Det finns också en rätt för den registrerade att ta del av vilka uppgifter som behandlas om denne. Den registrerade har också rätt att få felaktig information korrigerad utan onödigt dröjsmål samt rätt att få personlig information raderad, där så är juridiskt och praktiskt möjligt. Vidare har den registrerade också rätt att invända mot behandlingen, att återkalla eventuella samtycken och rätt att klaga till tillsynsmyndigheten om den registrerade anser att behandlingen är felaktig.

Andra lagar som också styr behandlingen av personuppgifter

GDPR styr inte ensamt hanteringen av personuppgifter utan kompletteras genom vissa lagar..

Här är relevant att nämna lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (”Dataskyddslagen”), tryckfrihetsförordningen och offentlighets- och sekretesslagen samt arkivlagen. Exempelvis ska kandidatuppsatser och uppsatser på avancerad nivå bevaras vid Örebro universitet. Det finns regler kring personuppgifter i många andra delar av vår lagstiftning men det är omöjligt att på ett pedagogiskt sätt samla alla i ett kort dokument.

Information för att säkra en rättvis och transparent behandling

  • Hur länge personuppgifterna kommer att sparas, eller, om det inte är möjligt att ange, vad som styr längden på lagringen.

    Ex. studentarbetets längd, om det är aktuellt att återanvända materialet till ytterligare uppsatser/arbeten etc. Vid osäkerhet, kontakta primärt kursansvarige, handledare eller motsvarande som i sin tur även kan kontakta Örebro universitets arkivarie för rådgivning.
  • Att det finns en rätt att få tillgång till och, när så är möjligt, få rättelse eller radering av personuppgifter eller begränsning av den behandling som rör den registrerade eller att invända mot behandlingen. Rätten till dataportabilitet (att den insamlade informationen enkelt ska kunna överföras) ska också upplysas om när så är aktuellt.

    Dataportabilitet kan vara aktuellt om du t.ex. tar fram en app för att underlätta en servicetjänst. Rätten till dataportabilitet finns för att göra det lättare för individer att byta exempelvis bank eller försäkringsbolag m.m.
  • OM användningen av personuppgifterna grundar sig på samtycke ska det informeras om att det finns en rätt att när som helst återkalla sitt samtycke och hur detta rent praktiskt ska ske. Dessutom ska information lämnas om att en återkallelse inte påverkar lagligheten av användning av personuppgifter som gjorts innan detta skedde.

    Information som har samlats in med stöd av samtycke innan återkallelse skett får alltså fortsätta att användas. Däremot får inte ny information samlas in.
  • Individen ska informeras om att den har rätt att lämna klagomål på användningen av dennes personuppgifter. Antingen kan detta ske till Örebro universitets dataskyddsombud eller direkt till Integritetsskyddsmyndigheten som är tillsynsmyndighet.
  • OM personuppgifterna måste lämnas på grund av att det är ett lag- eller avtalskrav eller nödvändigt för att kunna gå in i ett avtal ska detta upplysas om särskilt. Också om det är så att individen är skyldig att lämna informationen och om det finns möjliga konsekvenser av att inte lämna uppgifterna.

    Exempelvis om du inom ramen för ett studieprojekt tar fram ett beställningsformulär och det krävs vissa uppgifter för att ett avtal ska anses ha ingåtts.

OM du tänker använda personuppgifterna för ett annat syfte än vad de ursprungligen samlades in för ska den registrerade, innan denna ytterligare användning sker, informeras om detta samt övrig information som är relevant enligt avsnittet om information för att säkra en rättvis och transparant behandling.

NÄR personuppgifterna samlas in, inte efteråt, ska du informera den registrerade. Det innebär att det inte är tillåtet att först samla in informationen och sedan informera, informationen ska redan ha getts innan exempelvis en fotografering, filmning, testsession eller intervju börjar.

Specialregler vid information som ska ges om personuppgifter samlas in direkt från den registrerade

NÄR personuppgifterna samlas in, inte efteråt, ska du informera den registrerade. Det innebär att det inte är tillåtet att först samla in informationen och sedan informera, informationen ska redan ha getts innan exempelvis en fotografering, filmning, testsession eller intervju börjar.

Specialregler vid information som ska ges om personuppgifterna samlas in, men inte direkt från den registrerade

Möjliga undantag från informationsskyldigheten

OM något av undantagen används, se till att dokumentera detta tillsammans med åtminstone en kort motivering om varför information inte behöver lämnas.

  • Om det är omöjligt att ge den information som denna checklista innehåller eller om det skulle medföra en oproportionell ansträngning, framförallt aktuellt vid användning av personuppgifter vid arkivering, forskning och statistisk.

    Vad som är en oproportionell ansträngning avgörs i första hand av den personuppgiftsansvarige men det kommer att växa fram en praxis på området när väl tillsynsmyndighetens granskningar kommer igång.
  • Om att ge den grundläggande informationen i checklistan sannolikt skulle göra det omöjligt eller avsevärt försvåra uppfyllandet av målen med själva användningen av personuppgifterna.

    Exempelvis att ett studentarbete inte skulle gå att genomföra.
    I ovanstående fall ska Örebro universitet istället vidta ”lämpliga åtgärder” för att skydda den registrerades rättigheter och friheter och berättigade intressen, inklusive att göra uppgifterna tillgängliga för allmänheten. Det kan exempelvis innebär att publicera information om den tänkta behandlingen i dagstidningar, på webbsidor m.m. Diskutera gärna detta med handledare eller kursansvarige som i sin tur kan kontakta institutionens dataskyddssamordnare för ytterligare rådgivning.

    Om inget undantag är tillämpligt är du skyldig att ge den registrerade informationen i checklistans del  1 med tillägg under grundläggande information om vilka personuppgifter som samlas in och används.

Tidpunkt för information

Informationen ska ges vid olika tidpunkter, beroende på situation:

  • Inom en rimlig period efter det att du har fått personuppgifterna, dock senast inom en månad. Vid bedömningen av vad som är rimligt får hänsyn tas till eventuella särskilda omständigheter angående på vilket sätt personuppgifterna används.
  • Om personuppgifterna ska användas för att kontakta den registrerade ska informationen ges senast vid tidpunkten för den första kontakten.
  • Om ett utlämnande till en annan mottagare kan förutsättas ska information lämnas senast när personuppgifterna lämnas ut för första gången.